Linux anses allmänt vara ett säkrare operativsystem än Windows. Sanningen är att hackare siktar på var det finns fler användare och därför fler möjligheter till framgång. I den här artikeln upprepar vi Kobalos , ett nytt hot som påverkar Linux och som syftar till att stjäla SSH-referenser genom tidigare attackerad OpenSSH-programvara.
Kobalos, ett Linux-hot som stjäl SSH-referenser
En grupp säkerhetsforskare har upptäckt detta problem som påverkar Linux-system. Det är en skadlig modifierad version av OpenSSH . Det kan användas för att stjäla SSH-referenser. Det har kallats Kobalos och de indikerar att det är komplext och vilseledande.
Denna Kobalos bakdörr når några viktiga mål, inklusive vissa regeringssystem, europeiska universitet och till och med internetoperatörer. Ursprungligen har det bekräftats att det påverkar operativsystemen Linux, FreeBSD och Solaris, men experter tyder på att det kan finnas varianter av den här skadliga programvaran som också påverkar Windows.
ESET säkerhetsforskare omarbetade Kobalos för att skanna internet för offer för denna skadliga programvara. I de flesta fall påverkade det system och superdatorer, men de hittade också privata servrar som attackerades.
ESET kunde inte skapa den första attackvektorn som gjorde det möjligt för hackare att få administrativ åtkomst för att installera Kobalos. Men några av de komprometterade system "Kördes på äldre, operativsystem och programvara som inte stöds eller inte har patchats", så att utnyttja en känd sårbarhet är ett troligt scenario.
Även om forskarna spenderade månader på att analysera skadlig kod kunde de inte bestämma dess exakta syfte på grund av de inkluderade generiska kommandona och ingen specifik nyttolast.
Kobalos tillhandahåller fjärråtkomst till filsystemet och kan generera terminalsessioner, så att angripare kan utföra godtyckliga kommandon. På datorer där de kunde analyseras vidare upptäckte de att det fanns en OpenSSH-klient som förvandlades till en Trojan. På det här sättet kunde jag registrera användarnamn, lösenord och namnet på destinationsvärd.
Det tror forskare legitimationsstöld skulle kunna förklara hur skadlig programvara sprider sig till andra system i samma nätverk eller andra nätverk i den akademiska världen, eftersom studenter och forskare från flera universitet kan ha SSH-tillgång till pooler av superdatorer.
Mycket lätt skadlig kod
En av de egenskaper som forskare överraskar mest är att det är en liten skadlig kod , som endast upptar 24 kB. Trots sin lilla storlek är det en ganska komplex del av skadlig programvara och har fördunkningstekniker som gör det svårt att analysera.
I sin kodbas innehåller den kod för att köra en kommando och styrserver. Så de kunde konvertera vilken server som helst som har attackerats tidigare.
För att mildra attacker rekommenderar säkerhetsföretaget att användare aktiverar tvåfaktorautentisering för att ansluta till SSH-servrar. ESET säger att dess verktyg upptäcker skadlig programvara som Linux / Kobalos eller Linux / Agent.IV, medan SSH-referensstealer detekteras som Linux / SSHDoor.EV, Linux / SSHDoor.FB eller Linux / SSHDoor.FC.
